朝鲜Lazarus APT组织利用跨平台JavaScript窃取器瞄准加密货币钱包

大家好，我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标，否则可能就无法及时看到啦！因为公众号只对常读和星标的公众号才能大图推送。操作方法：先点击上面的“紫队安全研究”，然后点击右上角的【...】,然后点击【设为星标】即可。

与朝鲜有关联的高级持续性威胁（APT）组织Lazarus在新一轮黑客攻击行动中，使用了一款跨平台JavaScript窃取器，目标直指加密货币钱包。

据比特梵德（Bitdefender）的研究人员报告，在新一轮攻击行动中，与朝鲜有关联的Lazarus组织利用虚假的领英（LinkedIn）招聘信息，涉及加密货币和旅游行业，以此来传播一款跨平台JavaScript窃取器，进而攻击加密货币钱包。

诈骗者用加密货币、旅游或金融项目的虚假招聘信息吸引受害者，承诺提供远程工作、工作灵活性以及优厚薪酬，但具体工作细节却含糊不清。

这些威胁行为者会要求受害者提供简历或GitHub链接，以此收集个人数据，让这场骗局看起来更具合法性，在虚假招聘过程中进一步欺骗受害者。随后，攻击者会分享一个隐藏恶意代码的虚假项目，要求受害者运行一个演示程序，该程序会从第三方来源加载有害脚本。

攻击者会分享一个包含“最小可行产品”（MVP）的资源库和一份要求执行的文档。代码乍看之下似乎无害，但仔细检查会发现其中隐藏着一个经过高度混淆的脚本，它能从第三方端点动态加载恶意代码。

比特梵德发布的报告中提到：“在收到所要求的信息后，犯罪分子会分享一个包含项目‘最小可行产品’（MVP）的资源库。同时，还会附上一份文档，其中的问题只有通过执行演示程序才能回答。乍一看，代码似乎无害。然而，仔细检查会发现一个经过深度混淆的脚本，它会从第三方端点动态加载恶意代码。”

Lazarus APT组织的攻击手段

最终的有效载荷是一款跨平台窃取器，可针对Windows、MacOS和Linux操作系统发动攻击。恶意代码能够通过搜索与加密货币相关的浏览器扩展，瞄准热门的加密货币钱包。

该恶意软件还会窃取浏览器数据和登录凭证，然后部署基于Python和.NET的有效载荷，用于键盘记录、监控剪贴板内容变化、系统侦察、加密货币挖矿，以及通过Tor网络和攻击者控制的IP地址进行持续的命令与控制（C2）通信。恶意代码还能传递更多恶意软件。

通过对恶意软件和攻击策略的分析，确定此次攻击活动来自Lazarus APT组织。此前，这个与朝鲜有关联的组织也曾发起过利用恶意招聘信息和虚假求职申请的攻击活动。

报告总结道：“他们的目标远不止窃取个人数据。通过入侵航空、国防和核工业等领域的工作人员，他们旨在窃取机密信息、专有技术和企业凭证。在这种情况下，在企业设备上执行恶意软件可能会让攻击者获取敏感的公司数据，从而造成更大的破坏。”

“虽然在本文中我们讨论的是恶意招聘信息，但据观察，同样的威胁行为者还试图通过伪造身份和申请众多职位来渗透各类公司。结果大致相同：企业间谍会窃取私人信息、凭证和技术。”

推荐阅读：知识星球连载创作"全球高级持续威胁：网络世界的隐形战争"，总共26章，相信能够为你带来不一样的世界认知，欢迎感兴趣的朋友入圈沟通交流。

免费知识星球，不定期提供网上资源，也作为与粉丝的沟通桥梁。

喜欢文章的朋友动动发财手点赞、转发、赞赏，你的每一次认可，都是我继续前进的动力。

原文始发于微信公众号（紫队安全研究）：朝鲜Lazarus APT组织利用跨平台JavaScript窃取器瞄准加密货币钱包